jQuery(function($){ $('.logo_container a').attr('href','https://feelagile.com'); });
Sélectionner une page
Comment choisir le bon prestataire pour un accompagnement ISO 27001 ? – Partie 2

Comment choisir le bon prestataire pour un accompagnement ISO 27001 ? – Partie 2

I – Choisir un prestataire 

Dans cette deuxième partie, nous allons discuter des différentes catégories d’entreprise vous pouvez rencontrer ou des différents dispositifs d’accompagnement existants. 

Vous n’avez pas consulté la première partie de cet article ? Cliquez ici !

Le choix des consultants indépendants 

Dans les faits le choix d’un consultant indépendant non adossé à un réseau n’est pas le choix idéal. 
Opter pour un consultant indépendant ou une petite société pour accompagner un projet de certification ISO 27001 peut présenter certains inconvénients. Bien que l’expertise individualisée et l’approche personnalisée soient des avantages, les entreprises pourraient se heurter à des limites en termes de ressources et de disponibilité. Un consultant indépendant, gérant simultanément plusieurs clients, pourrait ne pas être en mesure d’offrir la réactivité et l’attention continues que requiert ce projet.

De plus, si l’expertise du consultant est étendue mais peu profonde, il pourrait ne pas posséder des connaissances spécialisées nécessaires pour des cas de figure complexes ou spécifiques à un secteur d’activité (juridiques ou en cybersécurité). Il y a également le risque qu’un seul consultant ne dispose pas d’un réseau de contacts étendu pour soutenir le projet. Contrairement aux cabinets de conseil qui peuvent offrir une équipe multidisciplinaire et un accès à un éventail plus large de compétences et d’expériences. Enfin, la continuité du service peut être menacée si le consultant tombe malade ou décide de changer de carrière.  

De plus la question des couts est contre intuitive car à prestation égale le consultant indépendant va être plus cher et surtout sans engagement. Nous avons constaté que certains projets dépassez les 60/80 K € sans apporter de réels résultats. 

La société de formation 

Le choix d’un cabinet de formation qui fait uniquement de la formation pour un accompagnement ISO 27001 peut présenter certains inconvénients qui méritent une réflexion approfondie. Un cabinet de formation peut se concentrer principalement sur les aspects théoriques de la norme ISO 27001. Ainsi il pourra offrir une compréhension robuste des principes et des exigences. Mais pourra parfois manquer de l’expérience concrète de la mise en œuvre pratique nécessaire à une véritable intégration de la norme au sein des processus de l’entreprise. Cette lacune peut conduire à un fossé entre la théorie apprise et les applications pratiques, compliquant la phase d’implémentation. De plus, les cabinets de formation peuvent parfois adopter une approche standardisée. Cette approche ne tient pas compte des particularités et des besoins spécifiques de chaque entreprise. En conséquence cela peut s’avérer moins efficace pour des organisations ayant des exigences uniques.

La formation en groupe dispensée par ces cabinets peut également diluer l’attention individualisée qu’un consultant dédié pourrait offrir. Enfin, les coûts associés à l’embauche d’un cabinet de formation pour l’accompagnement peuvent être significativement plus élevés. Notamment lorsque des sessions de formation supplémentaires sont nécessaires pour couvrir tous les aspects de la norme et sa mise en application. Il est donc essentiel de s’assurer que le cabinet choisi offre un équilibre entre formation théorique et support pratique adapté aux réalités opérationnelles de l’entreprise. 

La société d’accompagnement 

Opter pour un cabinet d’accompagnement spécialisé en ISO 27001 qui propose à la fois formation et soutien opérationnel représente un choix stratégique riche en avantages. L’un des principaux bénéfices réside dans l’approche intégrée offerte par ces cabinets, qui allie la transmission des connaissances théoriques essentielles à un accompagnement pratique personnalisé. Ce modèle permet aux entreprises de non seulement comprendre les exigences de la norme ISO 27001, mais aussi de savoir comment les mettre en œuvre de manière concrète et efficace au sein de leurs opérations quotidiennes.

Un cabinet d’accompagnement offre généralement l’expertise d’une équipe multidisciplinaire qui peut apporter une diversité de perspectives et de compétences, enrichissant ainsi le processus d’implémentation et augmentant les chances d’une certification réussie. De plus, l’assistance opérationnelle continue garantit que les pratiques de sécurité des informations sont non seulement conformes aux standards internationaux, mais aussi adaptées et évolutives en fonction des innovations. Enfin, l’investissement dans un cabinet d’accompagnement peut s’avérer économiquement avantageux sur le long terme, en évitant les erreurs coûteuses et en optimisant les processus internes, ce qui conduit à une amélioration de la gestion des risques et une meilleure résilience organisationnelle

L’externalisation 

L’externalisation de la mise en place de la norme ISO 27001, incluant la formation et l’accompagnement opérationnel via une solution logicielle, présente plusieurs avantages stratégiques pour une entreprise. Tout d’abord, cela permet d’accéder à une expertise spécialisée et à des ressources technologiques avancées sans les coûts et les engagements à long terme associés à l’embauche en interne. Les fournisseurs de services externalisés offrent des programmes de formation sur mesure qui peuvent être adaptés aux besoins spécifiques de l’entreprise, garantissant ainsi que le personnel comprend les exigences de la norme et sait comment les appliquer efficacement.

De plus, l’utilisation d’une solution logicielle dédiée facilite le suivi, la gestion et l’amélioration continue des processus de sécurité de l’information, rendant la conformité à l’ISO 27001 plus accessible et moins sujette aux erreurs humaines. Ce type de service offre également une flexibilité accrue, permettant aux entreprises de s’adapter rapidement aux évolutions de la norme ou à de nouvelles exigences réglementaires. Enfin, l’externalisation à travers une solution logicielle peut fournir une plateforme centralisée pour documenter, gérer et rapporter les mesures de sécurité, ce qui simplifie l’audit et la certification tout en offrant une vue d’ensemble cohérente de la posture de sécurité de l’organisation. 

II – Critères de Sélection d’un Prestataire

 Expertise et expérience : Importance de l’expérience dans des projets similaires. 

Il faut tout d’abord comprendre ce que veut dire être compétent en matière d’ISO 27001, voici les éléments clés de comparaison qui sont issus de centaines de projets conduits en ISO 27001. 

Le nombre de projets accompagnés 

Il vous faut une société qui a accompagné de nombreuses certifications depuis peu d’années. Car les certifications d’aujourd’hui on bien évoluée depuis 3 ans. Les normes et règlementations ont évoluées, les exigences des certificateurs ont changés. Il n’est pas rare que certains prestataires restent ancrés sur des pratiques dépassées ou des exigences dépassées. 

L’actualisation des connaissances 

La sécurité et la règlementation nécessite une mise à jour constante il faut donc choisir un prestataire disposant des connaissances en organisation, documentation cybersécurité mais aussi juridique

De plus ce prestataire devra être en mesure de vous proposer un service de veille en cybersécurité. 

L’expertise en norme et certification 

Ces projets nécessitent fréquemment une expertise globale en normes de sécurité et de qualité, en processus de certification. Cette expertise en certification va vous permettre de bien maîtriser le résultat final en matière de certification. 

L’expertise en cybersécurité 

C’est un critère souvent oublié dans les choix des prestataires. Certaines société pense avoir les compétences requises pour implémenter les actions de sécurité ou ont déjà un partenaire dans ce domaine. 

Pourquoi est-ce important d’avoir un cabinet expert en cybersécurité 

Cela permet d’avoir des conseils sur les solutions les plus simples et économiques à mettre en place pour être sécurisé au plus haut niveau. Ainsi que de permettre de vérifier les solutions technologiques mises en place par vos partenaires actuels et d’avoir un regard extérieur et impartial. 

L’expertise juridique  

Il faut également que votre société d’accompagnement dispose des compétences nécessaires juridiques pour vous conseiller sur les aspects de réglementaire contractuel lié au RGPD ou lié à la réglementation en sécurité de l’information. 

Vous pourrez trouver plus d’informations sur notre site le Club Cyber en matière de sécurité de l’information et réglementation. Nous avons notamment un dossier spécialisé sur la réglementation en cybersécurité dans notre rubrique abonnement VIP du Club Cyber

L’intervenant principal (le chef de projet ou accompagnateur) 

Il y a des domaines qui induise parfois en erreur. Le choix de l’intervenant fait partie des erreurs les plus courantes, l’expérience est importante ainsi que les connaissances associées mais il faut avant tout une personne dotée de sens pédagogique et de capacité d’accompagnement au changement. Le profil type expert avec 20 ans d’expérience aura les qualités de parler comme une encyclopédie mais ne permettra pas forcement de vous accompagner correctement. Bien entendu cet intervenant pourra bénéficier de l’aide d’un support interne en terme d’expertise (Cyber ou juridique principalement).

La méthode 

Les méthodes utilisées sont d’une importance cruciale, même si vous ne pouvez pas en juger facilement, une bonne méthode vous aidera à réussir le projet et une méthode complexe vous entrainera dans un projet à rallonge. Faites confiance à votre perception lorsque les prestataires vous présentent la méthode : Est-elle claire ? Est-elle simple ? demander à plusieurs interlocuteurs au sein de la société pour voir s’il y a les mêmes informations. Est-ce une méthode basée sur des principes en phase avec votre culture ? 

Les outils et solutions

Un projet sans outil et solution va vous obliger à utiliser des outils bureautiques comme Excel et Word ou à passer énormément de temps à développer votre propre solution. 

D’expérience nous n’avons pas vu de société qui avait réellement réussi à mettre en place une solution par elle-même pour suivre un système de management. Il est donc important de s’appuyer sur un logiciel du marché. Les coûts des logiciels réellement à jour et utile ne dépasse pas 5000€ annuels. Mais ce sont des logiciels assez structurés afin de pouvoir maintenir dans le temps votre système de management, de bénéficier des balles de bases de connaissances inclues et à jour, ainsi que de la possibilité d’automatiser votre système de management et donc de gagner du temps chaque année dans la mise en place d’actions de sécurité le maintien.

Les biais individuels

Comme dans tout choix de solutions on pouvait avoir des biens individuels qui sont liés à vos précédentes expériences ou à des expériences de partenaires. Il était important de prendre du recul afin de ne pas rester sur des a priori ou des fausses croyances. 

Parmi ces fausses croyances on peut trouver par exemple : 

  • une certification ISO rate cette vue là ce n’est que de la documentation 
  • une prestation d’accompagnement sera forcément plus chère qu’un consultant indépendant 
  • si je veux quelque chose de sur-mesure il faut forcément tout refaire pour moi 
  • … 

Je ne peux vous recommander que de comparer les différentes approches et de rester ouvert aux arguments les plus factuels. 

Les certifications

Les certifications dont doit disposer l’entreprise sont de 3 types : 

  • les certifications individuelles des consultants, 
  • Les certifications de type ISO ISO 27001 notamment (ce qui peut démontrer que le prestataire applique les mêmes principes que ce qu’il préconise). 
  • d’autres qualifications techniques peuvent exister en matière de sécurité informatique 

III – Considérations Financières 

Le budget global d’un projet ISO 27001 juste pour les achats externes et d’environ 50 000 € minimum. Pour des sociétés qui n’ont pas ce budget il faut envisager une démarche un petit peu différente qu’un accompagnement. Vous pouvez contacter nos services si vous voulez plus d’informations concernant ce sujet spécifique : Solution Stellar

Si vous voulez comprendre les coûts des accompagnements nous avons fait une FAQ et des vidéos sur ce sujet.

Le cout est toujours composé du temps passé en interne, du temps et des coûts d’accompagnement, des couts de maintien, des couts de solutions de sécurité et du cout de certification. 

Il faut savoir que si vous êtes bien accompagné par une société cela va faire baisser bien entendu vos coûts internes, mais également vos coûts de maintien et vos coûts de certification. 

De plus certaines sociétés comme Feel Agile peuvent vous accompagner au montage de dossiers de subventions et vous guidez dans la meilleure stratégie pour construire votre projet financièrement. 

Optimiser les coûts sur la sécurité 

Le fait d’être bien conseillé sur la partie sécurité technique peut vous amener à faire des économies conséquentes. Notamment par le choix de solutions les plus adaptées à votre contexte en matière de cybersécurité. 

Les postes sur lesquels il est possible de faire des économies sont : 

  • les systèmes de type soc externalisé ou les EDR 
  • les systèmes de peine test ou d’audit de sécurité 
  • le système de phishing ou de tests de collaborateurs ou de sensibilisation 

Dans ces différents éléments si vous êtes bien conseillé vous pourrez avoir les systèmes les plus optimiser parfois avec des solutions open source. 

Le choix d’une solution de gestion de votre certification ISO 27001 

Pourquoi choisir un logiciel de gestion de votre SMSI. Ce logiciel va avoir un coût si vous êtes entre autour de 5000€ annuel. Mais va permettre de gagner énormément de temps dans la mise en place et dans le maintien pour vous de votre certification.  

Si vous souhaitez une démonstration de notre solution partenaire vous pouvez contacter les équipes STELLAR.

Le coût de l’audit interne 

Vous êtes dans l’obligation pour la norme ISO 27001 de faire des audits internes complets la première année et des audits internes chaque année pour le la surveillance. 

Il est important de faire des audits internes assez complets et assez détaillés afin d’avoir un vrai et c’est dans les mêmes conditions que la certification mais avec plus d’exhaustivité afin de vous garantir la réussite d’un projet. 

Ainsi il est important d’avoir une certaine durée et donc un certain coût pour les audits internes. 

Le choix de l’organisme de certification 

Les prix peuvent varier de phase de façon significative, il est donc important de bien vous faire conseiller par votre organisme accompagnateur. De plus il est important de comprendre que le rôle de l’organisme de certification est uniquement de vérifier la mise en place d’un système. Il ne peut donc pas être juge et parti et vous accompagner ou vous former. Méfiez vous donc des sociétés de certification qui ne respectent pas ce minimum de déontologie, ce n’est généralement pas bon signe.  

De plus, ils peuvent avoir des biais importants car ils ne font pas de maintien ou d’accompagnement réel mais une vision uniquement sur la finalité du projet et pas la vie interne de l’entreprise. 

La gestion du partenaire de certification représente aussi un temps important donc n’hésitez pas à poser la question à votre partenaire si sa prestation inclut cette gestion de l’organisme de certification et le montage des dossiers. Dans les accompagnements proposés par notre société toutes les actions nécessaires à la certification sont incluses dans l’accompagnement. 

IV – les Propositions et les Devis 

Bien entendu les propositions et les devis doivent être claires et détaillées. Ceci dit ce n’est pas parce que un prestataire fournit une présentation avec une cinquantaine de pages que c’est un bon signe. 

Il s’agit encore une fois d’accompagnement où il faut privilégier les capacités pédagogiques donc la clarté la simplicité des documents de produits plutôt que le poids de la documentation. 

Privilégiez les présentations synthétique mais qui présente l’ensemble des critères précis de l’accompagnement et le contenu des prestations qui vont être réalisées. 

Les sociétés qui laissent planer un flou sur les livrables sont à exclure comme celle qui ne sont pas capables de vous indiquer un forfait précis de coût d’une prestation. 

En effet une société qui maîtrise bien l’accompagnement ISO 27001 et tout à fait capable de vous dire précisément l’étendue de son travail d’accompagnement pour atteindre un résultat avec une entreprise. 

Les sociétés qui ne s’engagent pas sur un forfait soit en fait des sociétés qui n’ont pas réfléchi au processus d’accompagnement et qui n’ont pas vraiment d’approche méthodique en termes d’accompagnement au changement. 

V – Communication et Support 

Conclusion 

  • Récapitulation de ces deux parties sur « Comment choisir le bon prestataire pour un accompagnement ISO 27001 ?« 

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment démarrer un projet de certification ISO 27001 ?

Comment démarrer un projet de certification ISO 27001 ?

Vous souhaitez vous lancer dans un projet de certification ISO 27001 mais vous ne savez pas comment démarrer le projet dans votre entreprise ? Vous vous sentez perdus face à l’immensité de la tâche ? Nous allons voir dans cet article les premières actions que vous pouvez mener dès le départ, avant même de répondre aux exigences de la norme.

Cadrer le projet de certification ISO 27001

Vous savez que vous voulez mettre en place la certification ISO 27001. Vous avez acheté les textes des normes. Et Vous les avez lus. Maintenant, comment commencez vous ? Comment démarrer un projet de certification ISO 27001 ?

1 – Prévoir les coûts

La première étape est d’avoir conscience, de prévoir et de planifier dans sa trésorerie le coût financier d’un tel projet de certification. Il est nécessaire de distinguer deux types des coûts : le coût interne (de la mise en oeuvre) et le coût externe de la certification :

  • le coût interne s’estime selon la maturité et la complexité de votre entreprise. Il faut prendre en compte les coûts liés au temps passé par vos équipes sur le projet de certification et les outils et mesures que vous allez déployer pour apporter une réponse aux exigences de la norme ISO 27001. C’est dans cette phase que faire appel à un consultant externe peut vous aider à structurer votre démarche de certification en gagnant du temps et vous garantir de ne pas tomber dans une « sur-documentation » pour passer la certification.
  • le coût externe est calculé par l’organisme certificateur en fonction du périmètre à certifier de votre entreprise, de la taille de votre entreprise pour déterminer un temps d’audit qui sera facturé.

Le retour sur investissement des démarches de certification est très positif pour les entreprises en terme d’organisation et de développement commercial

En savoir plus sur les coûts de la certification

2 – Avoir une démarche volontaire et impliquée

S’engager dans une démarche de certification ISO 27001 demande de l’investissement et une vraie volonté provenant de la direction. Il faut en moyenne compter une année pour se faire certifier ISO 27001. Il n’y a jamais de bon moment pour entamer cette démarche, vous n’aurez jamais toutes les conditions réunies pour « être prêt » à commencer. Alors, un conseil, lancez-vous !

Le soutien de la direction est primordiale ainsi que son implication dans les décisions et la communication

La première étape : Diagnostic de l’entreprise

Une fois les contours du projet définis, vous pouvez commencer à entamer une première phase de diagnostic : aller à la rencontre de vos équipes et écouter vos clients.

1 – Faire un premier recensement ?

Vous pouvez commencer par faire un premier recensement des outils utilisés par toutes vos équipes, des documents qui existent concernant les différents process de l’entreprise. Ce recensement vous fera une base sur laquelle vous pourrez vous appuyer pour vos prochaines actions.

2 – Aller sur le terrain

Ensuite, vous pouvez aller sur le terrain pour rencontrer vos équipes ou échanger avec vos clients sur la sécurité ! Cela va vous permettre de compléter votre premier état des lieux de ce qui existe déjà (en termes de process, d’organisation de travail) et de connaitre les problématiques actuelles et les attentes en matière de sécurité de l’information.

3 – Mobiliser les compétences en interne

Ensuite, il est essentiel de déterminer les rôles de chacun dans le projet de certification. Qui sera chef de projet certification en interne ; c’est-à-dire responsable du suivi des actions ? Qui sera RSSI ; responsable de la mise en œuvre de la sécurité et du contrôle ? Comment les équipes devront-elles travailler ensemble sur ce projet ?

4 – Faire appel à un consultant externe

Vous voulez tout de suite commencer ce projet sur des bonnes bases et suivre la bonne direction pour vous faire certifier ? Faites appel à un consultant externe qui pourra vous conseiller au mieux sur votre démarche. Cela vous permettra d’avoir un regard extérieur sur votre projet, de mieux organiser votre démarche et du coup de gagner du temps ! Ce n’est pas négligeable… Chez Feel Agile, nous souhaitons construire avec vous des fondations solides pour que votre certification soit une vraie démarche d’amélioration de votre entreprise.

Pour diagnostiquer la sécurité dans l’entreprise vous pouvez vous appuyer sur la norme de bonnes pratiques ISO 27002

Obtenir l’ISO 27002 code de bonnes pratiques en sécurité de l’information

Commencer à documenter

En dernier lieu,  vous pouvez également créer votre documentation (avoir le réflexe de documenter vos process ou procédures). En partant de votre premier état des lieux, vous verrez déjà des manques à combler, des process non décrits, des documents non actualisés,… Le but ici est de documenter toute votre action en matière de sécurité de l’information.

Ce sera toujours utile et pourra servir de base pour vos actions futures !

Une fois que vous avez effectué toutes ces étapes, vous êtes plus que prêts à vous lancer entièrement dans la démarche de certification ! Feel Agile vous accompagne tout au long de votre action, du diagnostic à la certification.

Nous avons abordé quelques éléments clés pour répondre à la question « Comment démarrer un projet de certification ISO 27001 ». Si vous souhaitez en savoir plus sur notre accompagnement, contactez-nous ! Nous serons ravis de répondre à vos questions !

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


La cybersécurité, moteur de la croissance des Startups

La cybersécurité, moteur de la croissance des Startups

Dans un écosystème de plus en plus exigeant et règlementé, la cybersécurité est devenue un enjeu majeur pour les startups. Entre protection des données (RGPD) et conformité réglementaire (NIS, HDS, PDP), il est essentiel de comprendre les risques et de mettre en place des mesures adaptées pour assurer la pérennité et la croissance de votre entreprise. (En effet, nous pensons que la cyber n’est pas un frein, mais un accélérateur, on vous explique pourquoi)

Dans cet article, nous aborderons les enjeux, le contexte réglementaire, les actions minimales à mettre en place, l’importance des certifications et de la documentation, ainsi que les bénéfices attendus de ces démarches.

Enfin, nous vous inviterons à un événement Feel Agile : Startup, PME : Comment préparer son plan cybersécurité ?

Quels sont les enjeux pour les startups ?

Aller vite ou sécurisé ?

Les startups, en raison de leur taille et de leur rapidité d’innovation, n’ont pas toujours prévu les mesures de sécurité et peuvent être la cible privilégiée des cybercriminels.

Une cyberattaque peut avoir des conséquences désastreuses pour une jeune entreprise : vol de propriété intellectuelle, perte de confiance des clients, interruption de service ou encore sanctions financières. Face à ces risques, il est crucial d’adopter une approche proactive et maîtrisée en matière de cybersécurité.

Mais les enjeux liés à la cybersécurité vont bien au-delà de la simple protection des données.

Les grands groupes et NIS 2

En effet, elles doivent également répondre aux exigences de leurs partenaires, notamment les grands groupes, qui peuvent leur demander de remplir des questionnaires de sécurité très détaillés pour s’assurer de leur conformité. D’ailleurs, concernant ces grands groupes, la règlementation NIS 2 et son application entrainera l’obligation de certification ISO 27001 pour des 100aines de startups et sous-traitants.

(Vous trouverez à ce sujet une vidéo au sujet de l’état des lieux règlementation + certification)

27001, le booster de croissance !

Ensuite, une bonne gestion de la cybersécurité est un élément rassurant pour les investisseurs potentiels. Ces derniers cherchent à minimiser les risques et préfèrent donc investir dans des entreprises ayant mis en place des mesures de sécurité solides et conformes aux réglementations en vigueur.

Le graal étant l’obtention de la certification ISO 27001 en sécurité de l’information. Nos clients témoignent d’un avantage concurrentiel majeur suite à l’obtention de la certification.

Ainsi, une approche proactive en matière de cybersécurité contribue non seulement à protéger l’entreprise contre les cyberattaques, mais aussi à renforcer sa crédibilité auprès des partenaires et investisseurs.

Les actions clés à mettre en place pour sécuriser sa Startup ?

Vous voulez convaincre des clients ?

Si vous voulez convaincre des clients de vous suivre, vous devez vous sécuriser.

Pour assurer une protection optimale, voici quelques mesures de base à mettre en place au sein de votre startup :

  • Sensibilisation du personnel : former les collaborateurs aux bonnes pratiques en matière de cybersécurité est essentiel pour prévenir les incidents.
  • Mise à jour régulière des logiciels : les correctifs de sécurité doivent être appliqués dès leur publication pour réduire les failles potentielles.
  • Utilisation d’outils de sécurité : un antivirus, un pare-feu et des solutions de chiffrement des données sont indispensables.
  • Gestion des accès : limitez les permissions et mettez en place une politique de mots de passe robuste. A minima, faites des outils de suivi des entrées et sorties, suivi des différents accès aux solutions SaaS…
  • Assurez des sauvegardes régulières : Il est important de sauvegarder les données de votre entreprise régulièrement pour éviter toute perte de données.
  • Activer la vérification en deux étapes dès que c’est possible

La cyber pas si simple pour où démarrer ?

Bien entendu, ces quelques actions et mesures, vous les connaissez déjà Mais vous avez certainement du mal à :

  • Prioriser les mesures
  • À y voir clair sur ce qui est mis en place
  • À suivre et être sûr que les mesures restent bien en place,
  • À prouver ce que vous faites

C’est pour cela que l’on va plutôt vous conseiller à adopter une démarche structurée.

  1. Établir vos enjeux et le contexte règlementaire
  2. Lister vos actifs importants (données personnelles, données clients ..)
  3. Analyser vos risques (Mesures en place, risques, Mesures à mettre en place)
  4. Définir votre plan d’actions
  5. Piloter
  6. Contrôler via des contrôles de sécurité, audits ou tests d’intrusion
  7. Instaurer des contrôles automatiques et des revues
  8. S’améliorer (j’aime bien ce point)

L’importance des certifications et pourquoi pas l’ISO 27001 ?

Oh, mais cela ressemble à notre démarche 27001 ?

Si vous en êtes là, vous devez franchir le pas et passer la certification ISO 27001

La certification ISO 27001 est connue pour être une certification difficile, mais c’est faux !!!

Elle demande de la structure, de la méthode et surtout de l’Expérience. Chez Feel Agile, nous avons accompagné des 10 aines de Startup, il faut suivre une méthode claire et assurer un tryptique sacré :

  • Un chef de projet qui pilote les actions
  • une sensibilisation
  • une vraie compétence dans la mise en place

L’ISO 27001 est un gage de sécurité pour les clients et les partenaires. Elle atteste du respect des meilleures pratiques et des normes internationales. (L’ISO 27001, est une norme de management de la sécurité de l’information qui permet d’instaurer un Système de Management de la Sécurité de l’Information (SMSI) et de garantir la protection des données de l’entreprise et de ses clients.)

L’ISO 27001 coûte cher ?

Faux et archi faux !!!!

Au-delà du classique « c’est un investissement », chez Feel Agile, nous nous sommes faits un point d’honneur à démocratiser la cybersécurité. Une Startup de moins de 10 collaborateurs peut mettre en place et obtenir la certification à moins de 10 K€ avec inclus la certification sur 3 ans. (Le 25 mai, on vous explique comment)

Feel Agile, l’acteur cyber des Startups et entreprises agiles !

Nous sommes fiers et reconnaissants d’avoir pu accompagner des dizaines de Startups ces deux dernières années dans les certifications ISO 27001, HDS, 9001 …

Nous avons préparé pour vous quelques retours d’expérience de nos Startup préférées :

ODROA – (certifié HDS) spécialisée dans l’analyse et la gestion de données dites sensibles comme les données de santé.

Retour d’expérience du dirigeant, Partick PAYSAN, sur sa démarche HDS

PHOENIX FLEET EXPERT, (certifié ISO 27001) – solution spécialiste de la gestion de flotte.

Retour d’expérience de Nadège GOUSSAULT, Directrice Administrative et Financière

VERYSWING – (Certifié ISO 27001) – Solution SaaS pour l’entreprise

Retour d’expérience de Nicolas SAILLET, Dirigeant

TOUS NOS WEBINARS en replay

Accédez à tous nos REPLAY WEBINARS sur les certifications

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment innover dans l’approche de la certification ISO 27001 ?

Comment innover dans l’approche de la certification ISO 27001 ?

Rencontre avec notre CEO, Thomas De Mota, qui va vous faire redécouvrir la démarche de certification !

La démarche de la certification est souvent abordée comme une mise en règle documentaire contraignante des normes pour répondre à une exigence client. Comment pouvons nous l’aborder d’une autre manière ?

Vous souhaitez vous lancer dans une démarche de certification ISO 27001, mais vous ne savez pas comment vous y prendre ? Vous vous imaginez peut-être devoir produire une montagne de documents et répondre à une liste incalculable d’exigences ?

Et si vous l’envisagiez d’une autre manière ?

C’est tout à fait vrai qu’il y a de la documentation à produire. Les règles de sécurité ainsi que les politiques de sécurité sont à établir. Les procédures doivent également être définies dans des documents formels. C’est la réalité, mais il faut savoir que c’est juste un aspect de la démarche de certification. Essayons plutôt de l’envisager sous un autre angle, celui de l’innovation.

L’innovation ? Nous pouvons innover quand nous lançons notre démarche de certification ISO 27001 ?

Tout à fait ! C’est notre manière de faire chez Feel Agile.

Innover c’est créer des marges de manœuvre sur la façon dont nous allons mettre en place la norme ISO 27001 et la sécurité.

Pour pouvoir innover, il faut donc déjà bien connaitre la norme et le texte. On parle ici de la norme ISO 27001, mais aussi de toutes les normes d’accompagnement (ISO 27002, ISO 27003,…) Ce sont des normes qui vont traiter de points particuliers de la mise en œuvre de la 27001. C’est donc très important de les connaître en profondeur afin de trouver et de comprendre la marge de manœuvre possible. En connaissant ce socle minimal des exigences, nous ne nous mettons pas de barrières trop importantes pour innover. L’auditeur ne peut pas vous rajouter des exigences qui ne sont pas définies dans la norme.

Pour innover, il faut connaitre à la perfection les normes pour connaitre nos marges de manœuvre

Comment cela se traduit concrètement, un exemple ?

Prenons l’exemple de la Revue de Direction. Auparavant, nous faisions la Revue de direction de façon semestrielle ou annuelle. Nous y passions en revue les incidents, tous les sujets de sécurité.

Quand une entreprise est mature sur ces sujets, cela fonctionne très bien. Mais quand on met en place les choses, c’est mieux de tenir des Revues de Direction mensuelles. Cela permet d’ancrer la Revue dans les pratiques plus facilement. Certains consultants diraient qu’on “n’a pas le droit “ et que  “ce n’est pas du jeu” mais si justement, on a le droit ! Tant qu’on remplit l’exigence minimale de passer tous les sujets de sécurité une fois par an, on a tous les droits de l’adapter à notre convenance.

Par exemple, nous pouvons revoir les incidents au mois de janvier et les risques au mois d’août. Nous ne sommes pas obligés de traiter tous les sujets en même temps. C’est d’ailleurs ce que je conseille, pour pouvoir intégrer les sujets plus régulièrement et que ce soit à jour tout le temps. Cet exemple est parlant et nous pouvons le décliner sur toutes les exigences de l’ISO 27001.

Faire des revues de direction courtes, participatives tous les mois

Qui peut adopter cette démarche ?

Cette manière d’aborder la certification s’adresse beaucoup aux entreprises à l’esprit agile. C’est vraiment appliqué l’esprit « agile » à la sécurité.  Nous avançons par petits bouts régulièrement, nous découpons tout, plutôt que de tout construire d’un coup en faisant quelque chose de trop compliqué.

Est-ce que les entreprises qui n’ont pas ce fonctionnement agile peuvent tout de même mettre en place cette démarche pour leur certification ?

Oui complètement. C’est tout à fait indépendant des méthodes officielles. On l’applique directement à l’organisation. Ce qui peux amener l’entreprise à évoluer dans sa façon de se structurer.

Cependant, c’est plus complexe sur les grands projets informatiques pour intégrer la sécurité car il y a souvent un historique qui est difficile à reprendre. Avec la norme ISO 27001, on parle vraiment de la sécurité dans sa globalité.

Quels sont les points importants dans cette démarche de certification ISO 27001 ?

Je pense que pour innover, la présence de la direction dans les décisions prises est essentielle.

Si vous voulez aller vite et être efficace sur la sécurité, vous pouvez aussi investir dans des petites formations de sensibilisation. Il existe aujourd’hui des outils très intéressants qui vous permettront d’automatiser vos campagnes de sensibilisation (comme Lucy Security).

Les outils qui vont également automatiser vos processus de sécurité sont également un investissement indispensable.

Rien ne remplace des sensibilisations présentielles, avec un dialogue direct avec les opérationnels

D’autre part, partir du terrain est autre élément important. Il faut construire des démarches de sécurité sur ce qu’il y a déjà en place. Bien connaître le terrain et ne pas calquer un système tout fait, c’est primordial ! Le système est ainsi construit de façon progressive et avec les équipes.

Ce qu’on préconise au début, c’est de faire des audits dès le commencement du projet. Les personnes sont ainsi préparées et sensibilisées très tôt. Au lieu de faire uniquement des audits blancs, on privilégie les démarches d’audits internes concrets et opérationnels. Cela permet de remonter les informations du terrain et de connaître l’existant parfaitement pour construire un système adapté.

Intégrer les audits flashs par sujet ou processus

Si nous voulons démarrer un projet de certification, comment pouvons-nous dès le début poser les bonnes bases ?

Le plus important c’est que la direction de l’entreprise soit impliquée. Elle doit l’être de façon très concrète en s’occupant des sujets de sécurité et des incidents, en demandant des comptes. Elle va également imposer des politiques de sécurité. En imposant les bases, les règles minimum en matière de sécurité, la direction montre son engagement fort dans la démarche. Mais attention, il faut qu’elle puisse assumer ces choix et les ressources liées au bon fonctionnement de cette politique !

Comment pouvons-nous nous assurer que la démarche mise en place corresponde à l’ADN de notre entreprise ?

La sécurité c’est valable pour toutes les entreprises ! La confiance au sein des entreprises est indispensable mais elle est insuffisante : on ne peut pas faire de sécurité sans contrôle. Pour autant, les notions de souplesse et d’adaptation sont présentes dans la sécurité. C’est ce qu’on appelle la sécurité opérationnelle : on tient compte de la réalité des personnes et de leur travail pour ne pas établir un système trop contraignant. Si c’est trop contraignant, le système et les règles vont être contournées… Le tout est donc de construire un château fort qui sera protégé par un système de contrôle intelligent.

Comment pouvons-nous continuer à être agiles après la certification ?

L’enjeu après la certification c’est de maintenir le système créé progressivement. Pour réussir cela, il faut maintenir la même philosophie, la même démarche, et l’effort dans la durée !

Est-ce que je peux retrouver cette vision chez tous les consultants en ISO 27001 ?

Il y a de nombreux consultants qui partagent cette vision et cette approche mais il faut vérifier lors du recrutement que dans les faits cette philosophie soit vraiment présente. Opter pour l’innovation dans la démarche ISO 27001 vous donnera des résultats en termes de sécurité et aussi de certification !

Si vous souhaitez en savoir plus sur notre accompagnement à la certification, retrouvez toutes les informations ici et sur notre FAQ.

N’hésitez pas à nous contacter pour toute question.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comprendre QUALIOPI

Comprendre QUALIOPI

Vous connaissez Qualiopi ?

Cette nouvelle marque qualité a été lancer par le ministère du travail au mois de novembre 2019.

Elle concerne tous les prestataires de formation, ou OPAC selon leur nouveau nom officiel (Opérateur Prestataire d’Actions concourant au développement des Compétences). Pour pouvoir bénéficier de fonds publics ou mutualisés, les OPAC vont devoir obtenir cette certification et ce, avant le 1er janvier 2021.

La marque Qualiopi

Cette nouvelle marque, déposée à l’INPI, va permettre d’attester de la qualité du processus mis en place par les OPAC. En harmonisant ainsi la qualité de l’offre professionnelle, l’offre de formation deviendra plus lisible pour les entreprises et les particuliers.

Qualiopi est donc délivré par des organismes certificateurs accrédités par le Comité français d’accréditation (COFRAC) sur la base d’un référentiel national. Ce référentiel se base sur sept critères de qualité et 32 indicateurs applicables :

  • Conditions d’information du public sur les prestations proposées
  • Identification des objectifs de prestation
  • Adaptation des prestations et des modalités d’accueil, d’accompagnement, de suivi et d’évaluation
  • Adéquation des moyens pédagogiques, techniques et d’encadrement
  • Qualification et développement des connaissances et compétences des personnels
  • Inscription et investissement du prestataire dans son environnement professionnel
  • Recueil et prise en compte des appréciations et des réclamations des parties prenantes

La marque va donc remplacer toutes les certifications ou labels dits « CNEFOP » ainsi que l’enregistrement DataDock.

Quelle est justement la différence entre DataDock et Qualiopi ?

DataDock était un premier pas vers une démarche qualité. Il a été créé par les OPCA pour vérifier que les prestataires de formation respectent les critères du décret Qualité du 30 juin 2015. C’était un processus déclaratif avec quelques contrôles par la suite. La démarche Qualiopi quant à elle est une véritable démarche de certification avec des audits réguliers avant et après l’obtention de la certification.

Quel est le cycle de certification ? Qui est concerné ?

Le cycle de certification est de 3 ans : un audit initial contrôlera la mise en place du référentiel national qualité et un audit de surveillance sera à réaliser entre le 14ème et le 22ème mois suivant la date d’obtention de la certification.

L’ensemble des OPAC : Formation, Bilan de compétences, VAE, Apprentissage, sont concernés par cette démarche.

Pourquoi se faire certifier ?

La certification est une obligation mais elle offre des avantages qui ne sont pas négligeables. Qualiopi peut donc ainsi rassurer vos clients et les financeurs en justifiant votre conformité à la législation. Vous mettez également en place une politique d’amélioration continue de vos services, qui ne pourra que vous être bénéfique.

Le processus de certification prenant plusieurs mois, n’hésitez pas à entamer le processus dès maintenant ! Si vous avez des interrogations ou si vous souhaitez vous faire accompagner dans la mise en place du référentiel national qualité, contactez-nous.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !